Download pdf - [TP2 COMPTE RENDU - … · - Gestion centralisée des autorisations (annuaire). Inconvénients: - L’administration qui devient dure sur de grands réseaux car en cas de ... commande

2014

Domingues Almeida Nicolas

[TP2 COMPTE RENDU AVANCE D’UN SWITCH]

Fonction pour accéder à distance à un Switch, VTY GTY, et compte rendu de la sécurité par adresse mac

[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014

Domingues Almeida Nicolas Page 2

SISR2

TP 2 : Configuration des Switch

Table des matières

Objectif : .................................................................................................. 3

Introduction VTY, GTY, sécurité par adresse Mac : ................................. 3

VTY ......................................................................................................... 3

CTY ......................................................................................................... 4

Sécurité par adresse Mac ...................................................................... 4

Mise en place des machines : ................................................................... 5

Schéma du câblage réseau .................................................................... 5

Tableau d’adressage .............................................................................. 6

Configuration Périphérique: ................................................................ 6-7

Configuration du Switch ........................................................................... 7

Commande de base : .............................................................................. 7

Tâche 3 : création d’une configuration de commutateur ............... 8-9-10

Tâche 4 : gestion de la table d’adresses MAC ................................. 10-11

Tâche 5 : Tâche 5 : configuration de la sécurité des ports ............... 12-13

Conclusion ............................................................................................... 13



Objectif :

L’objectif principal de ce TP est de nous apprendre la configuration d’un

Switch à développer nos compétences en étant autonome.

Puis nous apprendre le principe du VTY et CTY et la sécurité par adresse

Mac et de nous familiariser avec toutes les commandes pouvant être

rencontrées

Introduction VTY, GTY, sécurité par adresse Mac :

Tout d’abord connexion au Switch s'effectue par le port console en

utilisant la ligne associée à ce port (CTY = Console Lines Teminal) ou bien

à distance en utilisant les lignes virtuelles (VTY = Virtual Lines Teminal).

VTY (Virtual Lines Terminal)

VTY apparait dans la conf comme « ligne vty 0 15 ». Cela signifie que

vous pouvez avoir jusqu'à 16 connexions simultanées à la fois) mais l’on

peut délimiter le nombre de session simultané selon ce que l’on souhaite.

VTY utilise la connexion à partir d'un emplacement distant via Telnet ou

SSH.

SSH et Telnet sont des protocoles de couche application (7) qui

permettent aux demandes terminaux distants de se connecter à une ligne

de VTY.

Il faut créer au minimum un mot de passe pour l'accès aux différents

terminaux (console et virtuel) et un mot de passe pour l'accès au mode

privilégié. On doit donc s’assurer d’avoir un réseau local sécurisé et

optimisé.



CTY (Console Lines Terminal)

CTY est le port de la console. Il apparaît dans la configuration

comme « ligne con 0 ». Le port console est principalement utilisé pour

l'accès au système local à l'aide d'un terminal de console.

Sécurité par adresse Mac

Dans une architecture réseau, il est important de sécuriser l’équipement.

En effet, utiliser un ordinateur non autorisé peut être dangereux et donc il

est possible d’empêcher cela à travers un Switch et par sécurité par adr

Mac.

Le commutateur établit et met à jour une table d' adresses MAC, qui lui

indique une adresse Mac distant connecter à son port et en fonction

des adresses MAC reçues sur chaque port le commutateur construit

dynamiquement une table qui associe des adresses MAC avec des ports

correspondants. Et c’est ce qui le rend impossible à traverser avec

d’autres postes car chaque poste à une unique adr Mac.

Avantage :

- C’est souvent la première approche pour empêcher les connexions de

visiteurs indésirables sur de petits réseaux.

- Gestion centralisée des autorisations (annuaire).

Inconvénients:

- L’administration qui devient dure sur de grands réseaux car en cas de

changement de la carte réseau, la configuration du système de filtrage

doit être adaptée, dans ce cas la elle va plutôt se répandre sur les arrivées

des réseaux sans fil pour lequel elle est très dure à contourner (usurper

l’adr Mac ce que l’on appel « Mac spoofing »

http://fr.wikipedia.org/wiki/Adresse_MAC





Mise en place des machines :

Les configurations des machines qui seront connecté au réseau avec un

des postes reliés au Switch avec un câble RJ45 et un câble console pour la

configuration du commutateur puis l’autre dans la suite du TP à été

rajouté et qui est relié par un câble RJ45 au Switch.

Schéma du câblage réseau

172.17.99.21

172.17.99.32

Câble horizontal

Câble RJ45

Câb

le R

J45

Fa 0/18



Tableau d’adressage

Périphérique interface Adresse IP Masque de Sous réseau

Passerelle par default

PC1 Carte réseau 172.17.99.21 255.255.255.0 172.17.99.1

PC2 Carte réseau 172.17.99.22 255.255.255.0 172.17.99.1

Comm1 VLAN99 172.17.99.11 255.255.255.0 172.17.99.1

Configuration périphérique:

Configuration Switch:

Switch>enable

Switch#conf t

Switch(config)#hostname Comm1

Comm1(config)#vlan 99

Comm1(config-vlan)#exit

Comm1(config)#interface vlan 99

Comm1(config-if)#ip address 172.17.99.11 255.255.255.0

Comm1(config-if)#no shutdown

Comm1(config-if)#exit

Comm1(config)#

Configuration PC1 et PC2:

IL faut ensuite configurer les paramètres d'adressage IP du PC1.

address 172.17.99.21 netmask 255.255.255.0 gateway 172.17.99.11



On effectue la même manipulation pour le PC2.

address 172.17.99.32 netmask 255.255.255.0 gateway 172.17.99.11

Configuration du Switch

Commande de base :

Pour pouvoir configurer le Switch, il est nécessaire de passer en mode privilégié :

Comm1 > enable

Comm1#

Suppression de la configuration de démarrage

Il faut tout d’abord supprimer toute configuration préexistante :

Comm1#erase startup-config

Puis:

Comm1#reload

Mode configuration

Comm1#configure terminal

Comm1 (config)#

Sauvegarder la configuration

Comm1 # copy running-config startup-config

Examinez le contenu actuel de la mémoire vive non volatile en exécutant la commande show startup-config.



Tâche 3 : création d’une configuration de commutateur

Etape 2 définition des mots de passes

Comm1 (config)#line console 0

Comm1 (config-line)# password cisco

Comm1 (config-line)# login

Comm1 (config-line) # line vty 0 15

Comm1 (config-line) # password cisco

Comm1 (config-line) # login

Comm1 (config-line) # exit

Cette commande permet donc de configurer un mot de passe pour la connexion Cisco ainsi que les lignes Vty avec comme mdp cisco.

La commande login est donc requise pour définir qu’il y a bien un login et mdp mais que l’on ne met pas de login

Vty 0 15 signifie (Virtual télétype) les 15 premières connexions TCPIP.

Etape 3 définition mot de passe en mode commande

Définissez class comme mot de passe secret actif.

Comm1(config)#enable secret class

Étape 4 : création Vlan et affectation des ports sur le réseau local virtuel du commutateur

On passe donc à l’étape 5 à la partie Vlan car l’adresse de la couche 3 à déjà été configuré



Pour la création du Vlan 99 :

Comm1(config)#Vlan 99

Comm1(config-vlan)#Exit

Comm1(config)#Interface Vlan 99

L’affection à tous les ports du Switch

Comm1 (config) #interface fastEthernet 0/8 – 24

Comm1 (config-if) #switchport access vlan 99

Comm1 (config-if) #no shutdown

Comm1 (config) #end

L’affection 0/1 – 24 signifie que l’on sélectionne de 1 à 24 pour le vlan 99

Étape 5 : définition de la passerelle par défaut du commutateur

Comm1(config)#ip default-gateway 172.17.99.1

Comm1 (config) #exit

Etape 6: Vérification des parameter Lan

Comm1#show interface vlan 99

En faisant cette commande on vérifie chaque paramètre comme

La bande passante qui est BW 100 000 Kbit

L’état du Vlan qui est « actif », le Protocol de ligne est « is up, donc actif »

La stratégie de la file d’attente qui est fifo.

Etape 8 : Vérification de la connectivité

Après avoir paramétré le Pc1 correctement on peut donc effectuer une requête Ping qui aboutit bien.



Etape 9 : configuration des paramètres de vitesse du port et du mode bidirectionnel pour une interface Fast Ethernet

Configurez les paramètres de vitesse sur Fast Ethernet 0/18. Utilisez la commande end pour retourner au mode d’exécution privilégié une fois que vous avez terminé.


Comm1 (config)#interface fastethernet 0/18

Comm1 (config-if)#speed 100

Comm1 (config-if)#duplex full

Comm1 (config-if)#end

Vérifiez à présent les paramètres sur l’interface Fast Ethernet à l’aide de la commande show interface fa0/18. On enregistre donc la config grâce à la commande Comm1 # copy running-config startup-config

Grâce à la commande Comm1# show startup-config on peut voir que les modifications on bien été effectué.

Tâche 4 : gestion de la table d’adresses MAC

L’adresse Mac du Pc1 est : 000D.BD75.78BB L’adresse Mac du Pc2 est : 00E0. F740.3531

Étape 2 : identification des adresses MAC apprises par le commutateur

Envoyez une requête Ping au commutateur Comm1 depuis PC1, puis procédez à une vérification dans la table des adr MAC et on constate donc bien l’adresse Mac de notre PC1

Comm1#show mac-address-table

Étape 3 : effacement de la table d’adresses MAC

Pour supprimer les adresses MAC existantes

Comm1#clear mac-address-table dynamic



Étape 4-5 : vérification des résultats

Assurez-vous que la table d’adresses MAC a été effacée.

S1#show mac-address-table

Vérifiez une nouvelle fois la table d’adresses MAC en mode d’exécution privilégié. La table n’a pas changé

Étape 6 : configuration d’une adresse MAC statique

Pour spécifier à quels ports un hôte peut se connecter, créez un mappage statique de l’adresse MAC hôte à un port. Pour le configurer on utilise donc la commande : (en utilisant l’adr mac du Pc1 000D.BD75.78BB)

Comm1 (config)#mac-address-table static 000D.BD75.78BB vlan 99 interface fastethernet 0/18

Comm1 (config)#end

Pour vérifiez les entrées de la table d’adresses MAC on effectue donc :

Comm1#show mac-address-table Et on constate qu’il y a donc qu’une seule adresse mac qui est celle du Pc1.

Étape 8 : suppression de l’entrée MAC statique

Pour supprimer l’entrée Mac statique il suffit de rajouter no au début de la ligne de commande :

Comm1(config)#no mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18

Comm1(config)#end

Il faut s’ que l’adresse MAC statique a été supprimée à l’aide de la commande show mac-addresstable static.



Tâche 5 : configuration de la sécurité des ports

Étape 1 : configuration d’un deuxième hôte

Pour la tâche 5 on a donc besoin du second poste c'est-à-dire PC2 que l’on configure au préalable, puis on test une requête ping du Pc2 vers le Comm1 et elle aboutit.

Ensuite on affiche les adresses mac Comm1#show mac-address-table Et on constate que l’adresse Mac ajouté est bien l’adr Mac de l’hôte.

Étape 5 : liste des options de sécurité des ports

Pour connaître la suite des éléments d’une commande il faut mettre un point d’interrogation « ? »

Comm1# configure terminal


Comm1 (config-if)#switchport port-security ?

Étape 6 : configuration de la sécurité sur un port d’accès

Cette commande permet de configurer le port 0/18 pour qu’il n’accepte que 2 périphériques, acquière des adresse Mac de ces périphérique et qu’il soit sécurisé en cas d’hôte non valide (il bloque le trafic de l’hôte non valide).

Comm1 (config-if)#switchport mode access

Comm1 (config-if)#switchport port-security

Comm1 (config-if)#switchport port-security maximum 2

Comm1 (config-if)#switchport port-security mac-address sticky

Comm1 (config-if)#switchport port-security violation shutdown

Comm1 (config-if)#exit

Étape 7-8 : vérifier et examiner

Pour vérifier et examiner les paramètres de sécurité des ports on tape :

Comm1# show port-security (pour voir les ports sécurisés)

Comm1#show running-config (pour voir si la conf à bien été pris en compte)



Étape 8 : modification des paramètres de sécurité sur un port

On fait donc passer le nombre d’adresse mac maximum à 1 sur le port 0/18 :

Comm1(config-if)#switchport port-security maximum 1

Étape 9 : vérification des résultats

On affiche pour vérifier les paramètres de sécurité des ports :

Comm1#show port-security

En lançant un ping on aperçoit qu’ensuite les modifications on bien été effectuer (Comm1#show run)

En branchant le pc2 sur le port fa 0/18 on peu voir que le voyant devenu vert devient immédiatement désactivé on peut donc en conclure que la config qui a été faite à retenu l’adr mac du pc1 donc aucune autre adr Mac ne peut accéder à ce port. Donc en tapant Comm1#show interface fastethernet 0/18 on voit donc que l’interface 0/18 est down Aucun trafic ne peut passer entre l’hôte et le commutateur tant que l’hôte non autorisé est raccordé à Fast Ethernet 0/18. Reconnectez PC1 à Fast Ethernet 0/18

Pour réactiver le port on doit donc taper la commande :



Comm1 (config-if)#no shutdown

Comm1 (config-if)#end

Conclusion

Pour conclure, ce travail m’a beaucoup apporté et m’a permis d’enrichir mes connaissances et d’en apprendre de nouvelles.

Il m’a permis d’être indépendant et m’a demandé de la concentration et de la réflexion.